【EG】如何通过EG与ESS联动,实现将ESS上的用户信息同步到EG上,EG可基于此用户进行实名审计,将此用户名的上网行为作记录。

发布时间: 2014-03-18 点击量:842 打印 字体:

如何通过EG与ESS联动,实现将ESS上的用户信息同步到EG上,EG可基于此用户进行实名审计,将此用户名的上网行为作记录。

一、组网需求

EG的外置web认证就是与ESS联动或者与SMP联动。内网是二层环境,网络出口是EG1000S,内网有ESS(锐捷易安全系统)。ESS1000充当radius和portal服务器,EG充当NAS角色推送http重定向页面给客户机,用户输入用户名密码,实现web认证上网。

二、组网拓扑

      

三、配置要点

       配置步骤简介:

       1、EG的配置

              a、先通过快速配置,保证内网用户可以正常上外网.

              b、选择上网实名制策略进行配置,认证选项配置为"外置认证服务器”

              b、EG添加ESS服务器IP地址、SNMP团体字(跟ESS上EG的设备配置模版参数一致)和SNMP目的主机IP地址(ESS地址)

       2、ESS的配置

              a、ESS添加认证用户信息

              b、ESS定义修改设备配置模版(EG)

              c、ESS添加管理设备EG,关联相应设备配置模版      

       注意项:

1、如果开启了广告推送功能,填写的广告地址不能包含“?”字符。

2、如果开启了web认证,外网用户想要telnet管理内网的网络设备,需要把这些设备的管理IP都加入到免认证IP里,否则可能会管理不了(因为设备的管理IP无法自己去触发web认证)

       附件知识点:

1、EG web认证功能,默认放通DHCP/DNS/ARP的流量,不需要额外设置策略。

2、EG开启web认证后,使用telnet方式登录设备,如果3次输入用户名和密码错误,账号就会被锁住了,默认要15小时后才能重新登录。 //建议配置web认证后通过命令行下修改以下两个参数

            Ruijie(config)#aaa local authentication lockout-time  1   //设置账号锁住后,1小时后解锁

            Ruijie(config)#aaa local authentication attempts 10次   //设置允许输入的次数为10次

四、配置步骤

       ESS1000配置步骤

       1、ESS1000配置IP地址和网关信息

              a、将电源连接ESS1000设备,在第一次与电源连接前,请确认电源供电与RG-ESS工控机所标识的供电要求相符,以免损坏工控机;

              b、打开ESS1000的电源开关,检查“Power” LED灯是否发亮确认该RG-ESS工控机已经正常通电;

              c、PC 上使用串口登录RG-ESS 工控机,波特率9600,用户名为admin,密码为111;

              d、串口登录成功后,输入setup命令配置ESS的IP 地址和网关,并重启RG-ESS

       #RG-ESSsetup //初始化配置

       ********************************************************

       ** RG-ESS http://www.ruijie.com.cn/ **

       ** Copyright Ruijie Networks Ltd. All rights reserved **

       ********************************************************

       Welcome to RG-ESS. This is the setup menu.

       Please input network ip: //配置工控机的IP

       192.168.34.102

       please input network mask[255.255.255.0]: //配置子网掩码

       255.255.255.0     

       please input the gateway ip: //配置网关

       192.168.34.254

       please select the action[default:3]

       [1]save the config and reboot //保存并重启

       [2]reconfig //重新配置

       [3]exit config //不保存并退出配置

       [1~3]:1 // 选择1,会重启RG-ESS

              e、设备重启成功后,将PC连接在ESS1000的GE1端口,输入http://192.168.34.102:8080/ess 打开RG-ESS登陆界面

                   默认登陆用户名和密码:系统管理员:admin   密码:111111111

       2、添加认证用户信息:

            添加认证用户---张三,密码为:ruijie

       3、修改设备的配置模版

      

      

      

      

 

              a、类型:选择RG-EG设备

              b、身份认证key和web认证key:必须要跟EG1000S配置的认证字段一致

              c、SNMP配置:必须要与EG1000S配置的一致

              d、网关流量实名检测:勾选开启

       4、添加管理设备信息

      

              a、设备IP:EG1000S的管理地址

              b、选择上述配置的设备配置模版

               c、点击获取设备信息,检测跟EG设备snmp的连通性(如果连通性跟snmp没问题,以下信息都可以自动获取到)

 

       EG1000S配置过程:

       1、EG1000S经过快速配置,可以正常访问外网。

       2、在EG1000S “用户管理”---“上网实名策略”,配置“外置认证服务器”

   

              a、认证选项:选择外置认证服务器,通过其他认证设备实现web认证

              b、定向主页:主机进行www访问时EG重定向给主机的认证界面。(跟ESS上web认证页面下方自动生成的链接一致)

              c、服务器IP:这里填写内网认证服务器(ESS)的管理IP地址

              d、通讯密码:该密码配置必须与ESS中的web认证key配置一致

              e、SNMP团体名:配置必须与ESS的配置一致

              f、SNMP目的主机:该地址必须填写ESS的管理地址192.168.34.102

五、配置验证

       在浏览器中输入要访问的网页,会自动重定向到ESS1000的认证界面,提示输入认证用户名和密码:

      

 

       认证成功后,会出现以下认证成功界面:

      

 

 

 

 

 

10 分享 纠错
相关条目